API键意外地被网站泄漏。beplay体育能用吗这是找到他们的方法
一个新的铬浏览器已发布扩展程序是为了帮助Bug Bounty Hunters找到已进入JavaScript在线的钥匙。
现在在GitHub上可用的开源扩展名为Trufflehog是松露安全的工作。
网络安全公司的联合创始人迪伦·艾里(Dylan Ayrey)在博客文章日期为9月19日,通常,API AS-AS-AS-Service(SaaS)和云提供商的API键正在进入JavaScript,因此该公司“自豪”以提供能够找到它们的Chrome扩展名。
在一段录像BEX的基础设施安全工程师Mike Ruth描述了扩展名,他说可以将这些钥匙用于“访问我们不应该的东西”。
艾里(Ayrey)能够找到一个这样的秘密 - 埋葬在Weather.com的头版代码中的AWS密钥,该域已收到了7.4亿游客在过去的六个月中。
松露洗牌
原始的Trufflehog工具最初发布早在2017年作为GIT存储库扫描仪。
但是,它事实证明是有争议的在被无人机黑客社区成员使用后,发现无人机开发人员DJI企业GitHub存储库中的泄漏。
据称,对意外泄漏负责的开发商被中国政府罚款和监禁。
这次,艾尔告诉每日swbeplay2018官网ig他与Hackerone一起工作,并选择了一些研究人员在公开发行之前,在早期的Beta中清理“低悬挂果”,并且需要检查延期。交叉原始资源共享((科尔斯)安全缺陷 - 研究人员说“尚未得到太多探索”的领域。
翻转脚本
根据Ayrey的说法,当今许多SaaS应用程序都是以“鼓励前端应用程序在其JavaScript中包含钥匙”的方式构建的。
开发人员说,许多不是事故,也不是“可观察的文本块”,但实际上在API允许CORS的页面上,JavaScript在页面上积极使用。
某些API可能具有允许的CORS设置,鼓励网站向API(例如AWS)提出请求beplay体育能用吗JavaScript其中包含必要的凭据。
Ayrey评论说:“由于多个前端应用程序通常会消耗相同的后端API,因此不幸的是,许多内部应用程序都会获得具有宽松的CORS设置的范围。”
“不幸的是,CORS问题通常会级联并导致多个故障损害内部应用程序对密钥的完整性的多个点。”
这可能会导致外国来源能够向内部应用程序提出请求,并且APIS - 并且有可能成为盗窃关键的途径。Trufflehog将扫描这些钥匙,然后可能会向供应商报告Bug Bounties。
此外,该软件还能够检测到可能包含凭据和扫描后端的曝光和相关的.git存储库和.ENV文件。还包括有关环境变量脚本的检查。
但是,扩展程序存在局限性。Ayrey说,目前,扩展名读取完整的文档树,解析所有JavaScript链接,并两次获取静态资产进行扫描,这可能会影响性能水平。也没有缓存。
该扩展程序目前正在Google为Chrome Store进行安全审核,因此,到目前为止,只能是侧载。
